Загинайлов Теория ИБ-1 главы с 4 по 10
.pdfЧасто требуется применение нескольких защитных мер для снижения риска до приемлемого уровня. Если риск считается приемлемым, то реализация защитных мер не требуется.
Активы, включенные в установленные границы рассмотрения, должны быть обнаружены, и наоборот, - любые активы, выведенные за границы рассмотрения (независимо от того, по каким соображениям это было сделано), должны быть рассмотрены еще раз с тем, чтобы убедиться, что они не были забыты или упущены.
Для идентификации защитных мер полезно рассмотреть уязвимости системы, требующие защиты, и виды угроз, которые могут реализоваться при наличии этих уязвимостей. Существуют следующие возможности снижения уровня риска:
–избегать риска;
–уступить риск (например, путем страховки);
–снизить уровень угроз;
–снизить степень уязвимости системы ИТ;
–снизить возможность воздействия нежелательных событий;
–отслеживать появление нежелательных событий, реагировать на их появление и устранять их последствия.
Выбор защитных мер должен всегда включать в себя комбинацию организационных (не технических) и технических мер защиты. В качестве организационных, рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность.
Для выбора соответствующих эффективных защитных мер, организация должна исследовать и оценить проблемы безопасности, связанные с коммерческой деятельностью, которую обслуживает рассматриваемая система ИТ. После идентификации проблем безопасности и с учетом соответствующих угроз можно выбирать защитные меры. Проблемы безопасности могут включать в себя потерю конфиденциальности, целостности, доступности, подотчетности, аутентичности, достоверности.
Контрольные вопросы и задания
1.Какие стандарты следует считать основой знаний и практического опыта в области обеспечения информационной безопасности организации?
2.Какие компоненты включает в себя концептуальная модель информационной безопасности организации?
71
3.Как определяется понятие информационной безопасности с позиции безопасности системы ИТ, на которой основаны бизнеспроцессы организации.
4.Перечислите активы, которые могут быть объектами информационной безопасности организации.
5.Какие понятия связаны с понятием угрозы информационной безопасности организации и в чём их суть?
6.В чём заключается суть иерархии политик безопасности организации?
7.Что представляет собой политика безопасности информационных (информационно – телекоммуникационных) технологий организации?
8.Приведите понятие системы обеспечения информационной безопасности организации.
9.Что представляют собой защитные меры?
10.Приведите возможные сценарии, описывающие модель безопасности организации.
72
ЧАСТЬ II
МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОМАЦИИ
Глава 5 ПОНЯТИЕ И СУЩНОСТЬ ЗАЩИТЫ ИНФОРМАЦИИ
5.1Общий контекст защиты информации
Всвязи с тем, что информация является предметом собственности (государства, коллектива, отдельного лица (субъекта)), то неизбежно возникает проблема угрозы безопасности этой информации, заключающейся в неконтролируемом ее распространении, в хищении, несанкционированном уничтожении, искажении, передаче, копировании, блокировании доступа к информации (нарушение конфиденциальности целостности, доступности). Следовательно, возникает проблема защиты информации от утечки и несанкционированных воздействий на информацию и ее носители, а также предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы. В связи с чем, понятие «защита информации» становится основополагающим (ключевым) понятием и рассматривается как процесс или деятельность, направленная на предотвращение утечки защищаемой информации, а также по предотвращению различного рода несанкционированных и непреднамеренных воздействий на информацию и ее носители.
С развитием конкуренции в среде свободного предпринимательства крупномасштабной задачей в области «защиты информации» становится борьба с промышленным и экономическим шпионажем, распространению которого способствует широкомасштабное применение для обработки информации средств вычислительной техники (особенно персональных ЭВМ), созданием вычислительных сетей, систем, баз данных, в том числе баз персональных данных, многочисленных средств передачи информации. Промышленный шпионаж ведется в основном с целью завоевания рынков сбыта, исключения технологических прорывов конкурентов, срыва переговоров по контрактам, перепродажи фирменных секретов и т.д. По мере ослабления противостояния между Россией и «Западом» промышленный шпионаж в работе многих разведок становится приоритетным направлением наряду с политической разведкой.
73
Значимость защиты информации увеличивается в связи с возрастанием возможностей разведок за счет совершенствования технических средств разведки, создания совместных предприятий и производств с зарубежными партнёрами, сокращения закрытых для иностранцев зон и городов.
Важность и значение защиты информации в обеспечении национальной безопасности страны в целом и в обеспечении информационной безопасности в частности раскрываются в нормативно – методических документах – Стратегии национальной безопасности России и Доктрине информационной безопасности России, в которых сформулирована политика государства в этой области.
Внастоящее время основные вопросы защиты информации регламентированы законами Российской Федерации: «Об информации,
информационных технологиях и о защите информации», «О государственной тайне», «О коммерческой тайне», «О персональных данных», «О техническом регулировании» и др., положениями о государ-
ственном лицензировании деятельности в области защиты информации, документами Федеральной службы по техническому и экспортному контролю, техническими регламентами и стандартами в области защиты информации.
Всвязи с многообразием вопросов связанных с защитой информации к настоящему времени сложилось несколько систем понятий применительно к этой области, которые в целом охватывают всю предметную область информационной безопасности. Значительная часть понятий, связанных с защитой информации, стандартизирована или содержится в специальных нормативных документах Федеральной службы по техническому и экспортному контролю. Основные системы понятий и их источники приведены в таблице 5.1.
Специалистам в области информационной безопасности сегодня невозможно обойтись без знаний соответствующих технических регламентов, стандартов и нормативных документов по защите информации. Роль этих документов для защиты информации объясняется следующими факторами:
– необходимость следования техническим регламентам и некоторым стандартам и нормативным документам закреплена законодательно;
– они создают основу для взаимодействия между производителями, потребителями и экспертами средств защиты информации;
– стандарты одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях защиты ИС;
74
Таблица 5.1 – Системы понятий в области защиты информации
Система |
|
Источники, |
|
понятий |
|
содержащие понятия |
|
|
|
|
|
1 |
|
2 |
|
|
|
||
Понятия, |
Федеральные законы: |
||
связанные с |
1. |
«Об информации, информационных техноло- |
|
правовым |
гиях и о защите информации». |
||
регулированием |
2. |
«О государственной тайне». |
|
3. |
«О коммерческой тайне». |
||
защиты |
|||
4. |
« О персональных данных». |
||
информации |
|||
5. |
«О техническом регулировании». |
||
|
|||
Понятия, |
1. |
ГОСТ Р 50922-2006. Защита информации. Ос- |
|
определяющие |
новные термины и определения. |
||
предметную |
2. |
ГОСТ Р 51275-2006. Объект информатизации. |
|
область защиты |
Факторы, воздействующие на информацию. |
||
информации |
3. |
Р 50.1.053-2005 Рекомендации по стандарти- |
|
зации. |
Информационные технологии. Основные тер- |
||
|
|||
|
мины и определения в области технической защиты |
||
|
информации. |
||
Понятия, |
Гостехкомиссия России. Руководящий документ. |
||
связанные с за- |
Защита от несанкционированного доступа к инфор- |
||
щитой информа- |
мации. Термины и определения. (утверждён в 1992 |
||
ции от НСД в |
году). |
|
|
|
|
||
СВТ и АС |
|
|
|
Понятия |
ГОСТ Р ИСО/МЭК 13335 Национальный стан- |
||
в области безо- |
дарт РФ. Информационная технология. Методы и |
||
пасности ин- |
средства обеспечения безопасности. Часть 1. |
||
формационных |
ГОСТ Р ИСО/МЭК 15408-1«Информационная |
||
технология. Методы и средства обеспечения безопас- |
|||
технологий |
|||
ности. Критерии оценки безопасности информацион- |
|||
|
|||
|
ных технологий». |
||
–в них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами;
–роль технических регламентов, стандартов и нормативных документов зафиксирована в основных положениях закона РФ «О техническом регулировании».
75
5.2 Понятие и сущность защиты информации как вида деятельности
Понятие защиты информации. В настоящее время в научной и учебной литературе существуют различные подходы к определению понятия «защита информации». Однако, учитывая тот факт, что термин «защита информации» в России является стандартизированным термином, определение которого дано в ГОСТ Р 50922-2006 Защита информации. Основные термины и определения, а термины и их определения (понятия), установленные этим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, в методологии защиты информации необходимо руководствоваться этим определением и понятиями этого стандарта.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
С учётом характеристик безопасности информации, понятий, используемых в законодательстве, определение «защиты информации» (в широком смысле) может быт сформулировано следующим образом:
защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на неё и включающая правовые, организационные и технические меры, обеспечивающие конфиденциальность, доступность и целостность защищаемой информации.
Сущность защиты информации. Сущность защиты информа-
ции раскрывается через её предметную область определяющую: виды, направления и соответствующие им способы, цели и задачи защиты информации.
Виды защиты информации:
–правовая защита информации;
–техническая защита информации;
–криптографическая защита информации;
–физическая защита информации.
Правовая защита информации – защита информации правовы-
ми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
Техническая защита информации – защита информации, заклю-
чающаяся в обеспечении некриптографическими методами безопасно-
76
сти информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
Криптографическая защита информации - защита информации с помощью ее криптографического преобразования.
Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
Направления и относящиеся к ним способы защиты информации.
Направления и относящиеся к ним способы защиты информации приведены на рисунке 5.1.
Направления (способы) защиты информации
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1. Защита |
|
|
2. Защита |
|
|
3. Защита |
||||
|
информации |
|
|
информации |
|
|
информации |
||||
|
от утечки |
|
|
от НСВ |
|
|
от НПДВ |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.1 Защита информации от |
|
|
4. Защита |
|||||
|
|
|
|
разглашения |
|
|
информации |
||||
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
от преднаме- |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
ренного |
|
|
|
1.2 Защита информации от НСД |
|
||||||||
|
|
|
|
(ПДВ) |
|||||||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
воздействия |
|
|
|
|
|
|
|
|
|
||||
|
|
|
1.3 Защита информации |
|
|
|
|
||||
|
|
|
|
|
|
||||||
|
|
|
от [иностранной] разведки |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 5.1 – Направления и относящиеся к ним способы защиты информации
77
Направления и относящиеся к ним способы защиты информации включают:
-защита информации от утечки (защита информации от разглашения, защита информации от несанкционированного доступа (НСД), защита информации от [иностранной] разведки);
-защита информации от несанкционированного воздействия
(НСВ);
-защита информации от непреднамеренного воздействия (НПДВ);
-защита информации от преднамеренного воздействия (ПДВ).
Защита информации от утечки – защита информации, направ-
ленная на предотвращение неконтролируемого распространения ЗИ в результате ее разглашения и НСД к ней, а также на исключение (затруднение) получения ЗИ [иностранными] разведками и другими заинтересованными субъектами. Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Защита информации от разглашения – защита информации, на-
правленная на предотвращение несанкционированного доведения ЗИ до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
Защита информации от несанкционированного доступа (ЗИ от НСД) – защита информации, направленная на предотвращение получения ЗИ заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. Заинтересованными субъектами, осуществляющими НСД к ЗИ, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от [иностранной] разведки – защита ин-
формации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой. Защита информации от разведки разделяется на защиту от агентурной разведки и технической разведки.
Защита информации от несанкционированного воздействия ( ЗИ от НСВ) – защита информации, направленная на предотвращение НСД и воздействия на ЗИ с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копи-
78
рованию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия (ЗИ от НПВ) – защита информации, направленная на предотвращение воздействия на ЗИ ошибок ее пользователя, сбоя технических и программных средств ИС, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от преднамеренного воздействия (ЗИ от ПДВ) – защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
5.3 Цели и задачи защиты информации
Цели защиты информации. Целью защиты информации является заранее намеченный результат защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Общими целями защиты информации с учётом положений законодательства России являются:
1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий
вотношении такой информации;
2)соблюдение конфиденциальности информации ограниченного доступа;
3)реализацию права на доступ к информации.
На конкретном объекте информатизации цели могут конкретизироваться. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 (обеспечение свойств целостности и доступности информации).
Задачи защиты информации. Задачи защиты информации в зависимости от целей защиты в случаях, установленных законодательством России обязаны выполнять обладатель информации или оператор информационной системы.
79
Задачи защиты информации:
1)предотвращение НСД к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2)своевременное обнаружение фактов НСД к информации;
3)предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4)недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5)возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6)постоянный контроль за обеспечением уровня защищенности информации.
5.4 Концептуальная модель защиты информации
Концептуальная модель защиты информации, так же как и модель обеспечения информационной безопасности, может быть представлена четырьмя основными компонентами, представленными на рисунке 5.2
Угрозы |
|
Политика безопасности информации |
|
1. |
Требования по защите информации (правовые и норма- |
||
безопасности ЗИ |
|||
тивные документы, технические регламенты, стандарты). |
|||
и объектам |
|||
2. |
Замысел, цели, задачи, виды защиты информации |
||
3.Лицензирование и сертификация
1.Угрозы безо- 4. Аудит информационной безопасности
пасности инфор- |
|
|
|
3 |
|
|
|
мации |
|
|
|
|
|
|
|
Защищаемая |
|
|
|
|
2. Источники уг- |
|
|
|
|
||
|
роз |
|
информация |
|
|
|
|
3. Уязвимости 2 |
1. Ограниченного |
|
Система защиты |
||
носителей и сис- |
|
доступа |
|
|
информации |
|
2. Общедоступная |
|
|
|
|||
|
тем обработки |
|
|
|
||
|
3. Объекты интеллек- |
|
1. |
Способы ЗИ |
||
|
4. Риски |
туальной собственно- |
4 |
|||
|
2. |
Средства ЗИ |
||||
|
|
|
сти |
|
||
|
|
|
|
|
3. |
Органы защиты |
|
|
|
|
|
4. |
Эффективность |
|
Объекты защиты информации 1 |
|
защиты информа- |
|||
|
|
|
|
|
ции |
|
1. Носители ЗИ. |
|
|
|
|||
2. Системы хранения, обработки, передачи |
|
5. |
Мониторинг |
|||
информации (ИТ, ИС, ИТКС) |
|
|
|
безопасности ин- |
||
3. Объекты информатизации |
|
|
|
формации |
||
Рисунок 5.2 – Концептуальная модель защиты информации
80